Activer et utiliser la corbeille Active Directory sous Windows Server 2022
Sommaire
I. Présentation
Dans ce tutoriel, nous allons apprendre à activer et utiliser la corbeille Active Directory ! Nouveauté de l'Active Directory depuis Windows Server 2008 R2, la corbeille Active Directory est devenue une fonctionnalité incontournable pour lutter contre les suppressions accidentelles d'objets, notamment les comptes utilisateurs.
Toutefois, par défaut cette fonctionnalité est désactivée et c'est bien dommage... Mais nous verrons comment l'activer. Sachez qu’une fois que cette fonctionnalité est activée, c’est impossible de faire marche arrière.
Avant toute chose, assurez-vous que le niveau fonctionnel de votre domaine soit sur Windows Server 2008 R2 au minimum.
Note : La procédure décrit la navigation dans les menus pour Windows Server 2022, mais c’est sensiblement la même chose pour les versions précédentes de Windows Server.
Version originale publiée le 10 décembre 2012.
II. Activer la corbeille Active Directory
Pour activer la corbeille Active Directory, nous allons utiliser la console "Centre d'administration Avec Directory", bien que ce soit possible de le faire avec PowerShell (voir un peu plus bas dans l'article). Ouvrez la console "Centre d'administration Active Directory" et positionnez-vous à gauche sur votre domaine.
Ensuite, à droite, cliquez sur le bouton "Activer la corbeille". Si le bouton est grisé, c'est que la Corbeille Active Directory est déjà activée !
Une fenêtre de confirmation apparaît, cliquez sur "OK". J'insiste une nouvelle fois sur le fait que cette action est irréversible.
C'est fait ! Il ne reste plus qu'à attendre que cette modification dans le schéma Active Directory soit répliquée sur tous les contrôleurs de domaine.
L'activation de la corbeille Active Directory donne lieu à un nouveau conteneur dans l'annuaire. Celui-ci se nomme "Deleted Objects" et il contiendra tous les futurs objets supprimés.
Pour ceux qui souhaitent activer la corbeille Active Directory via PowerShell, lisez ce qui suit. Cette opération implique d'avoir le module Active Directory de PowerShell, ce qui devrait être le cas si vous exécutez la commande depuis un contrôleur de domaine.
Vous devez adapter la commande ci-dessous pour qu'elle corresponde à votre environnement. Dans cet exemple, j'utilise le domaine "it-connect.local" et cela se voit au niveau des paramètres -Identity et -Target.
Enable-ADOptionalFeature -Identity "CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=it-connect,DC=local" -Scope ForestOrConfigurationSet -Target "it-connect.local"
Une fois la commande saisie et exécutée, la console vous demande si vous êtes sur de vouloir activer la corbeille puisque l’action est irréversible, comme je vous le disais dans la présentation. Indiquez « T » pour Oui pour tout.
III. Restaurer un objet supprimé
Nous allons voir maintenant comment restaurer un objet supprimé de l’Active Directory. Par exemple, je vais supprimer l’utilisateur "Vincent Timmes" de mon annuaire AD dans le but de le restaurer par la suite... Lorsqu’on restaure un objet situé dans la corbeille, il est restauré dans son intégralité, à l’identique.
Pour restaurer les objets, on peut utiliser PowerShell ou l'interface graphique. D'ailleurs, initialement c'était possible uniquement avec PowerShell, mais depuis Windows Server 2012 la restauration d’objets peut se faire par l’interface graphique dans le Centre d’administration Active Directory.
Dans le cadre de ce tutoriel, nous allons voir les deux méthodes pour que vous puissiez restaurer des objets que vous soyez sur 2008 R2 ou 2012.
A. Restauration par l’interface graphique
Dans le Gestionnaire de serveur, cliquez sur « Outils » puis sur « Centre d’administration Active Directory ».
Une fois que la console est ouverte, accédez au conteneur Deleted Objets que l'on a vu précédemment. Ici, on remarque l'utilisateur "Vincent Timmes" ce qui est une bonne nouvelle, car cela signifie que la corbeille fonctionne.
Pour le restaurer, il suffit de faire clic droit dessus puis « Restaurer ». Il sera restauré dans l'unité d'organisation d'origine. Le fait d’utiliser l’option « Restaurer sur… » permet de restaurer l’objet dans un conteneur au choix.
Une fois la restauration effectuée, vous pouvez retrouver votre objet dans l’annuaire dans le même état qu’il l’était avant la suppression.
B. Restauration avec la console PowerShell
Avec la console PowerShell, on sélectionne dans l’Active Directory l’objet qu’on souhaite restaurer en incluant les objets supprimés pour que la sélection retourne quelque chose puis on précise qu’on souhaite restaurer cet objet.
Prenons toujours le cas où l’utilisateur « Vincent Timmes » s’est retrouvé supprimé par erreur, nous allons le restaurer via cette commande PowerShell en l'identifiant par son login (SamAccountName) :
Get-ADObject -Filter 'SamAccountName -eq "vincent.timmes"' -IncludeDeletedObjects | Restore-ADObject
Le cmdlet « Get-ADObject » permet de récupérer un objet dans l’annuaire et une fois qu’on a récupéré l’objet, il est restauré avec le cmdlet « Restore-ADObject » qui s'applique sur l'objet envoyé via le pipeline de PowerShell. La commande, même lorsqu’elle s’exécute avec succès n’affiche pas de message de validation pour la restauration de l’objet.
Vous n’avez qu’à le vérifier en allant dans l’Active Directory (en pensant à Actualiser) dans l’OU où doit être l’objet restauré. Ou, à partir de PowerShell avec Get-ADObject ou Get-ADUser.
IV. Conclusion
Suite à la lecture de ce tutoriel, vous êtes capable d'activer et d'utiliser la corbeille Active Directory, aussi bien à partir de PowerShell que de l'interface graphique.
Par défaut, les objets sont conservés dans la corbeille Active Directory pendant 180 jours (cette valeur est modifiable). Lorsqu'un objet est supprimé, l'attribut "isDeleted" passe sur "True". Ensuite, quand le délai de 180 jours est passé, cet attribut ne change pas tandis que l'attribut "isRecycled" passe à "True" également, ce qui empêche la restauration via la corbeille.
Merci
Bonjour j’ai essayé mais voila le message d’erreur qu’il affiche après la confirmation:
Enable-ADOptionalFeature : La méthode spécifiée n’est pas prise en charge Au niveau de ligne : 1 Caractère : 25
+ Enable-ADOptionalFeature <<<< -Identity "CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=satelcomgn,DC=lan" -Scope ForestOrConfigurationSet -Target 'satelcomgn.lan'+ CategoryInfo : NotSpecified: (CN=Recycle Bin …telcomgn,DC=lan :ADOptionalFeature) [Enable-ADOptionalFeature], ADException + FullyQualifiedErrorId : La méthode spécifiée n'est pas prise en charge,Microsoft.ActiveDirectory.Management.Commands.EnableADOptionalFeature
Qu'est ce qui ne va pas? je suis débutant!
Vérifie bien le niveau fonctionnel de ta forêt (en powershell: Get-ADForest) -> niveau 2008r2 minimum
Merci pour ce tuto
est il possible de récupérer un user supprimé avant la mise en place de cette corbeille?
Bonjour Talex,
Non ce n’est pas possible…
Cordialement,
Florian
MERCI BEAUCOUP